BLOG | RGPD, cookies & les 7 péchés capitaux

Combien de cookies avez-vous acceptés depuis 2018 ? 

Des centaines ? Des milliers ? Sans doute plus que vous ne voudriez l’admettre, plus que raisonnable. 

En mai 2026, le RGPD fêtera ses 10 ans. Huit ans ont passé depuis son application, ses pop-ups fulgurantes, ses cases à cocher multicolores et ses politiques de confidentialité lues avec une passion triste. On nous promettait un Internet plus « respectueux », qu’en est-il ? 

Explorons les sept péchés capitaux à l’ère du RGPD — avec en dessert les références légales pour les amateurs de textes officiels. 

1. La gourmandise - Tout collecter, sans limite

Au commencement, il n’y avait rien – ou presque. 

Puis Internet apparut. 

Yahoo et Google guidèrent les premiers internautes perdus, qui, en échange de la voie retrouvée, consentirent à livrer quelques informations personnelles. 

La pratique se répandit. Elle devint la norme. 

Il fut un temps où l’humain croquait la pomme. Désormais, c’est la pomme - et quelques autres fruits digitaux - qui croque les femmes et les hommes. 

Pour contrer cette boulimie, le RGPD a instauré un principe cardinal : ne prendre que ce qui est nécessaire. 

Article 5.1.c du RGPD : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. 

2. L’orgueil - Trop grands pour changer 

De la nouvelle Rome numérique, les nouveaux césars regardaient ces fâcheux européens comme des barbares qui n’auraient jamais connu que le Minitel. 

Consciente que les géants du Web ignoreraient les règles européennes avec la souplesse d’un boxeur parant un uppercut, l’UE a prévu quelques rappels à l'ordre assez sévères. 

Article 83 du RGPD : prévoit des amendes pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel pour les violations les plus graves. 

3. La paresse - Négliger la sécurité 

Emportés par l’urgence de lancer le dernier réseau social indispensable pour fédérer les passionnés de sigillographie ou de sphragistique, combien ont relégué la sécurité au (dernier) rang de détail technique ? 

Or, la protection des données n’est ni un luxe ni un simple choix d’architecture : c’est une obligation légale, qui engage à la fois des moyens appropriés et une exigence de résultats face aux risques. 

Article 32 du RGPD : impose la mise en œuvre de « mesures techniques et organisationnelles appropriées » pour assurer un niveau de sécurité adapté au risque (chiffrement, pseudonymisation, tests réguliers). 

4. La luxure - Dark patterns pour piéger le consentement 

« Accepter ! » crie, impatient, le bouton vert qui étincelle sous la souris. Son ami, le « Refuser » se cache discret, pour un choix que l’on croirait honteux. 

Le consentement doit être libre, spécifique, éclairé et univoque. Utiliser des dark patterns pour forcer la main de l'utilisateur est sanctionné. 

Article 7 du RGPD : définit les conditions de validité du consentement.

Lignes directrices 05/2020 et 03/2022 (CEDP/EDPB) : précisent l'interdiction des cases pré-cochées et des dark patterns (interfaces trompeuses) conçus pour influencer le choix de l'internaute. 

5. L’avarice - Dis-moi qui tu es, je ne te dirais pas combien tu vaux 

Savez-vous que votre taille, votre poids, votre âge et même votre pointure ont une valeur. Et que dire de vos goûts, de vos passions… 

Toute donnée possède une valeur marchande, mais elle ne peut être traitée par simple cupidité. Toute exploitation doit reposer sur un socle juridique. 

Article 6 du RGPD : liste les six bases légales autorisées (consentement, contrat, obligation légale, sauvegarde des intérêts vitaux, mission d’intérêt public ou intérêt légitime).

6. La colère - Scandales et fuites à répétition 

Une fuite. Une simple fuite de données. 

Chez Facebook. 

87 millions de profils qui décidèrent, par un beau matin de 2014, de faire l’école buissonnière en s’échappant de la Silicon Valley. 

Profils errants qui ne tardèrent pas à tomber entre les bonnes mains du spin doctor Steve Banon et de Cambridge Analytica. 

Profils instrumentalisés pour peser sur les scrutins politiques au fil des années suivantes. 

Certains y virent une simple maladresse. D’autres, une trahison. 

Pour beaucoup, ce fut un scandale. Le scandale Cambridge Analytica. De nombreux scandales suivirent. 

Le RGPD impose désormais une transparence totale en cas de faille. 

Articles 33 et 34 : obligent les entreprises à notifier les autorités (CNIL) et les personnes concernées en cas de violation de données présentant un risque. 

7. L’envie - Copier n’est pas jouer 

Quand un simple clic peut dupliquer les contrats, les clauses, que reste-t-il des intentions ? 

Beaucoup d’organisations déploient des solutions de conformité par simple copier-coller d’une politique de confidentialité. Le RGPD encadre cette pratique par un principe clé. 

Article 5.2- Principe de responsabilité du traitement des données à caractère personnelles : le responsable de traitement doit non seulement respecter les règles, mais être capable de démontrer sa conformité à tout moment par une documentation précise. 

Dura lex, sed lex 

Oui, le RGPD n’est pas drôle tous les jours, ni pour les ESN, entreprises ou administrations qui doivent le mettre en pratique, ni pour les usagers qui se sentent submergés de validations. Mais si le RGPD existe, c’est avant tout pour protéger les citoyens européens que nous sommes ! 

Et peu importe que vous l’appréciiez ou non, il s’impose, selon la maxime millénaire, alors autant mieux le connaitre. Vous reprendrez-bien un cookie ? 

Annexes - pour amateurs éclairés 

Passionnés des textes de lois, voici votre dessert à consommer, sans modération, au format PDF, sur le site officiel.